Como evito a assimetria na VPN baseada em rotas com roteamento estático?

4 minuto de leitura

Quero evitar o roteamento assimétrico em uma VPN baseada em rotas configurada para roteamento estático.

Breve descrição

O AWS Site-to-Site VPN fornece dois endpoints por conexão VPN para alcançar a mesma rede de destino. A AWS usa qualquer um dos túneis ativos para rotear o tráfego para o mesmo destino.

Os túneis VPN geralmente são hospedados em firewalls “de estado”. Os dispositivos de firewall esperam que um pacote use a mesma interface de túnel para enviar e receber tráfego. O roteamento assimétrico ocorre quando o pacote entra na Amazon Virtual Private Cloud (Amazon VPC) por meio de um túnel e sai pelo outro túnel na mesma VPN site a site. Quando o pacote retorna por outra interface de túnel, não corresponde à sessão “de estado” e, portanto, é descartado.

Resolução

Não é necessário criar uma nova VPN com roteamento dinâmico para resolver o problema do roteamento assimétrico. Em vez disso, continue usando o roteamento estático depois de fazer alterações para refletir a lógica de roteamento dinâmico, conforme apresentado abaixo.

Pré-requisito

Confirme se você tem roteamento assimétrico verificando as métricas do Amazon CloudWatch:

Veja as métricas de cada túnel

Se você tiver apenas uma conexão VPN com configuração ativa/ativa:

Abra o console do CloudWatch.
No painel de navegação, escolha Métricas.
Em Todas as métricas, escolha o namespace métrico da VPN.
Selecione as Métricas de túnel VPN.
Selecione as métricas do CloudWatch TunnelDataIn e TunnelDataOut. Se houver roteamento assimétrico, um túnel terá pontos de dados para a métrica TunnelDataIn. O segundo túnel tem pontos de dados para a métrica TunnelDataOut.

Exibir métricas de toda a conexão VPN (métricas agregadas)

Se você tiver várias conexões VPN:

Abra o console do CloudWatch.
No painel de navegação, escolha Métricas.
Em Todas as métricas, escolha o namespace métrico da VPN.
Selecione as Métricas de conexão VPN.
Selecione as métricas do CloudWatch TunnelDataIn e TunnelDataOut. Se houver roteamento assimétrico, uma conexão tem pontos de dados para a métrica TunnelDataIn. A outra conexão tem pontos de dados para a métrica TunnelDataOut.

Para obter mais informações sobre métricas de túneis, consulte Monitoramento de túneis VPN usando o CloudWatch.

Cenários de roteamento assimétrico

Analise as opções a seguir para evitar o roteamento assimétrico nesses cenários:

Uma única conexão VPN configurada como ativa/ativa

Para evitar roteamento assimétrico:

Use o recurso agregado IPsec se o gateway do cliente oferecer suporte. Para obter mais informações, consulte Agregado IPsec para balanceamento de carga de túneis) no site Fortinet.
Se o gateway do cliente for compatível com o roteamento assimétrico, é preciso garantir que o roteamento assimétrico esteja ativado nas interfaces do túnel virtual.
Se o gateway do cliente não for compatível com roteamento assimétrico, confirme se a configuração da VPN é ativa/passiva. Essa configuração identifica um túnel como UP (para cima) e o segundo túnel como DOWN (para baixo). Nessa configuração, o tráfego da AWS para a rede on-premises passa somente pelo túnel no estado UP. Para obter mais informações, consulte Como configuro minha VPN de site a site para preferir o túnel A em vez do túnel B?

Duas conexões VPN (VPN-Pry e VPN-sec) se conectam à mesma VPC

Nesse cenário, as conexões VPN se conectam ao mesmo Amazon VPC, usando o mesmo gateway privado virtual.

Observação: Esse cenário se aplica somente às conexões VPN com o gateway privado virtual.

Ambas as conexões:

Use roteamento estático
Anuncie os mesmos prefixos locais. Por exemplo, 10.170.0.0/20 e 10.167.0.0/20
Conecte-se à mesma VPC por meio do gateway privado virtual
Tenha diferentes IPs públicos do gateway do cliente

Implemente as medidas a seguir para evitar o roteamento assimétrico:

Rotas estáticas para VPN-Pry (conexão primária):

10.170.0.0/21

10.170.8.0/21

10.167.0.0/21

10.167.8.0/21

Rotas estáticas para VPN-sec (conexão secundária):

10.170.0.0/20

10.167.0.0/20

Nessas configurações, a AWS escolhe a VPN-Pry como a conexão preferencial em vez do VPN-sec. A AWS usa a correspondência de prefixo mais longa em sua tabela de rotas que corresponde ao tráfego para determinar como rotear o tráfego.

Observação: Se o gateway do cliente não tiver roteamento assimétrico nesse cenário, defina cada configuração de VPN como ativa/passiva. Isso identifica um túnel como ativo por conexão VPN. O tráfego passa para o túnel ativo da conexão secundária se os dois túneis da conexão ativa estiverem inativos.

Para obter mais informações sobre prioridade de rota de VPN, consulte as Tabelas rotas e prioridade de rota de VPN.

Tópicos

Rede e entrega de conteúdo

Conteúdo relevante

Como posso configurar uma VPN baseada em rota estática gerenciada entre a AWS e o IBM Cloud?
AWS OFICIALAtualizada há 10 meses
Como posso criar uma VPN baseada em roteamento dinâmico usando um firewall Palo Alto e uma AWS VPN?
AWS OFICIALAtualizada há um ano
Como soluciono problemas de conexão entre um endpoint VPN da AWS e uma VPN baseada em políticas?
AWS OFICIALAtualizada há um ano
Como usar a AWS Site-to-Site VPN para criar uma VPN baseada em certificado?
AWS OFICIALAtualizada há 9 meses